Аудит доступа к файлам и папкам
Если требуется выявить слабые места в защите корпоративной сети, можно установить аудит файлов и папок, расположенных на разделах NTFS. Для аудита доступа пользователей к файлам и папкам прежде всего следует настроить политику аудита на регистрацию доступа к объектам, в том числе файлов и папок. При настройке политики аудита на регистрацию доступа к объектам включается аудит конкретных файлов и папок. При этом также указывается, какие виды доступа, пользователи и группы подлежат аудиту.
В таблице 4.2 перечислены действия пользователей, вызывающие соответствующие события, что поможет определить, в каких случаях следует включать аудит этих событий.
События для файлов и папок, вызываемые действиями пользователей.
Таблица 4.2
| Событие | Действие пользователя, вызвавшее событие | |
| Переход в папку/Выполнение файла (Traverse Folder/Execute File) | Запуск программы или получение доступа к папке при смене текущей папки | |
| Получение списка файлов/Чтение данных (List Folder/Read Data) | Просмотр содержимого файла или папки | |
| Чтение атрибутов (Read Attributes) | Просмотр атрибутов файла или папки | |
| Чтение расширенных атрибутов (Read Extended Attributes) | Просмотр атрибутов файла или папки | |
| Создание файлов/Запись данных (Create Files/Write Data) | Изменение содержимого файла или создание новых файлов в папке | |
| Создание папок/Добавление данных (Create Folders/Append Data) | Создание папок внутри папок | |
| Запись атрибутов (Write Attributes) | Изменение атрибутов файла или папки | |
| Запись расширенных атрибутов (Write Extended Attributes) | Изменение атрибутов файла или папки | |
| Удаление вложенных папок и файлов (Delete Subfolders And Files) | Удаление файла или папки внутри папки | |
| Удаление (Delete) | Удаление файла или папки | |
| Чтение разрешений (Read Permissions) | Просмотр прав владельца файла на файл или папку | |
| Смена разрешений (Change Permissions) | Изменение прав доступа к файлу или папке | |
| Смена владельца (Take Ownership) | Изменить право владельца на файл или папку |
Аудит доступа к принтерам
При необходимости отслеживать использование конкретных принтеров включите аудит доступа к принтерам. Чтобы включить аудит доступа к принтерам, в политике аудита настройте аудит доступа к объектам, что включает принтеры.
Включите аудит конкретных принтеров и укажите, какие виды .доступа регистрировать и какие пользователи будут иметь доступ. Для выбранного принтера аудит включается в той же последовательности, что и при установке параметров аудита файлов и папок.
В таблице 4.3 перечислены события, аудит которых возможен для принтеров, и соответствующие этим событиям действия пользователей.
События для принтеров, вызываемые действиями пользователей. Таблица 4.3
| Событие | Действие пользователя, вызвавшее событие |
| Печать (Print) | Печать файла |
| Управление принтерами (Manage Printers) | Изменение параметров принтера, приостановка печати, разрешение совместного использования принтера, удаление принтера из системы |
| Управление документами (Manage Documents) | Изменение параметров заданий; приостановка или продолжение печати, изменение порядкового номера в очереди или удаление документов; разрешение совместного использования принтера; изменение параметров принтера |
| Чтение разрешений (Read Permissions) | Просмотр прав доступа к принтеру |
| Смена разрешений (Change Permissions) | Изменение прав доступа к принтеру |
| Смена владельца (Take Ownership) | Смена владельца принтера |
2.2.Изучите возможности управления журналом безопасности
Использование утилиты Просмотр событий (Event Viewer)
Утилита Просмотр событий (Event Viewer) применяется для решения различных задач администрирования, в том числе для просмотра журналов аудита, созданных в результате установки политики аудита и обновляемых при возникновении заданных событий. Утилиту Просмотр событий (Event Viewer) также используют для просмотра содержимого файлов журнала безопасности и поиска конкретных событий в файлах журнала.
Утилита Просмотр событий (Event Viewer) необходима для просмотра информации, содержащейся в журналах (logs) Windows XP Professional. По умолчанию эта утилита позволяет просматривать три журнала (таблица 4.4).
Журналы Windows XP Professional.
Таблица 4.4
| Журнал | Описание |
| Журнал приложений | Хранит сообщения об ошибках, предупреждения или информацию, генерируемые приложениями, например СУБД или программой электронной почты. События, регистрируемые в журнале, задаются разработчиками соответствующих программ |
| Журнал безопасности | Содержит информацию об успешных или неудачных попытках выполнения операций, аудит которых включен. Эти события регистрируются Windows XP Professional в соответствии с политикой аудита |
| Системный журнал | Хранит сообщения об ошибках, предупреждения и данные, генерируемые Windows XP Professional. События, регистрируемые в журнале, задаются в Windows XP Professional |
Примечание Если установлены дополнительные службы, могут быть добавлены и соответствующие журналы событий.